Zahlungsdienstleister und Datenschutz

007sascha · 4. März 2024 um 16:18

Hey zusammen,
sobald man online etwas verkaufen möchte kommt man sehr schnell an die Grenze dass eine klassische Überweisung nicht ausreicht und man z.B. auch Kreditkartenzahlungen o.ä zulassen möchte.
Für die Abwicklung gibt es ja etliche Dienstleister von Paypal, Giropay über Klarna bis hin zu Stripe o.ä.
Ich wüsste auch gar nicht ob ich direkt Kreditkarten ohne ein Dienstleister abwickeln könnte.
Wie verhält es sich grundsätzlich mit solchen Dienstleistern und Datenschutz, bzw. welchen Dienstleiter kann man als „Verkäufer“ überhaupt auf seine Kunden loslassen? Nein Klarna soll es nicht werden und dient nur als Beispiel.
Hat sich mit dem Thema schon näher beschäftigt?
Eine eigene Bank stellt leider keine Option dar
Mich würde vor allem Stripe interessieren und vermutlich läuft es auf das „kleinste“ Übel hinaus.
Gruß Sascha

Winston · 4. März 2024 um 17:38

Ich rate ja zu einem Nicht-US-Anbieter, weil die US-Verfassung meint, Ausländerdaten seien vogelfrei. Besonders glaubwürdig, da von US-Fachmann:

https://www.justsecurity.org/2668/foreigners-nsa-spying-rights/

Gibt es einen Nicht-US-Anbieter? Früher … ja … Heute: Nicht, dass ich wüsste.
Aber wir haben ja „nichts zu verbergen“, schon 1933 nicht.

caos · 6. März 2024 um 07:52

Es scheint auch Unterschiede zu geben, welche Daten neben den Kreditkartendaten diese Dienstleister zusätzlich abgreifen möchten. Ich war mal in einem Bezahlprozess, in dem die Kreditkartenzahlung via PayPal abgewickelt werden sollte. Pflichtangaben an PayPal waren dann plötzlich sowohl Geburtsdatum als auch Postadresse (…daraufhin Abbruch der Bestellung und woanders gekauft)

007sascha · 7. März 2024 um 20:06

Hey, ja je nach Dienstleister lassen sich mehr Daten erfassen als eigentlich notwendig wäre. Daher ist dein Vorgehen genau richtig solch eine Webseite zu meiden.
Für Stripe weiß ich zwischenzeitlich recht gut was machbar ist und ähnliches wird auch für Paypal u.ä. gelten. Also immer Augen auf auch wenn es nach einem „vertrauenswürdigen“ Zahlungsdienstleiter aussieht. Die Implementierung spielt eine sehr große Rolle.

Toughy · 7. März 2024 um 22:12

Wie erkennt man das immer? Also z.B., dass neben dem gewählten Zahlungsmittel noch Daten woanders hin abfließen?

Winston · 15. März 2024 um 13:06

Zunächst kann man es auf der Webseite erkennen, indem man schaut, welche Dritten noch im Hintergrund sich die IP + x übermitteln lassen, bspw. mit uBlock origin, unvollständig auch auf dem iPhone/iPad mit einem Klick auf „aA“ in der Adresszeile.

Dann muss man bspw. im Falle Paypals nur noch die 83seitigen AGB lesen … Lesezeit ca. 1 h 20 Minuten …

https://www.heise.de/news/80-Seiten-Kleingedrucktes-Verbraucherzentrale-mahnt-PayPal-ab-3969005.html

Leider hat das OLG Köln diese für Otto Normal ‚unfassbaren‘ AGB dennoch für wirksam gehalten und die Revision nicht zugelassen:

Das OLG meinte, angesichts von fünf verschiedenen Beteiligten, nämlich

dem Zahlenden selbst,
dem Unternehmen, das die Zahlung empfange,
dem Zahlungsdienstleister PayPal und
gegebenenfalls Banken und/oder
Kreditkartenunternehmen

sei diese Textmenge vertretbar.

https://rsw.beck.de/aktuell/daily/meldung/detail/olg-koeln-paypal-agb-sind-nicht-per-se-zu-lang

Toughy · 24. März 2024 um 22:44

Ah, ich hatte irgendwie gedacht, dass das Kreditkartenunternehmen die Daten „hinter meinem Rücken“ mit Paypal tauschen könnte.

kolabi · 25. März 2024 um 07:56

Was ist mit einer Kombination aus Geschenkgutscheinen, welche man bis zu Beträgen von mehreren hundert Euro in Super- und Drogeriemärkten bekommt und dem Senden der Ware an eine Paketstation von DHL?

Habe das zwar noch nie probiert aber sollte das nicht sogar mit Fakenamen funktionieren?

Einziger Wermutstropfen ist wahrscheinlich, dass man sein Gerät für die Nutzung der Packstation jetzt bei DHL registrieren lassen muss, so schreibt jedenfalls Bit.

caos · 26. März 2024 um 12:33

Hier gibt es eine sehr schöne optische Umsetzung der AGBs von PayPal (bzw. des Teils der die Datenweitergabe an Dritte beihaltet): https://rebecca-ricks.com/paypal-data/

007sascha · 26. März 2024 um 14:11

Hm, das ist in der Tat recht unterschiedlich da es unterschiedliche Integrationsmöglichkeiten gibt. Zumindest für Stripe-Elements kann man es am eingebundenen JS-Skript von https://js.stripe.com/v3/ erkennen das dann on-the-fly sämtliche Elemente nachläd. Theoretisch lässt sich das Skript aber auch lokal auf dem Server ablegen, dann wird es weiter verschleiert.
Welche Daten jedoch für eine Zahlung abgefragt werden ist selbst definierbar. Klar Zahlungsdaten sind ein muss, aber ob ich weiter noch die Telefonnummer und Schuhgröße mit abfrage bleibt jedem Betreiber selbst überlassen. Stripe macht es sich auch einfach und sagt dass der Integrator den Datenschutz sicher stellen muss
Genaueres zu Stripe-Elements: https://docs.stripe.com/payments/quickstart

Wenn aber Serverseitig direkt auf eine Zahlungs-API zugegriffen wird hat man meiner Meinung nach kaum eine Chance im Vorfeld zu erkennen über welchen Dienstleister es abläuft.
Man kann sich aber zu 95℅ sicher sein dass irgendein Dienstleister im Hintergrund agiert und mindestens die Zahlungsdaten auch verarbeitet.

Um dem wirklich zu entgehen bleibt nur eine offline Barzahlung.

Richtig lustig wird es wenn die Zahlungsdienstleister selbst wieder Zahlungsdienstleister verwenden. Also wenn ich beispielsweise in einem Shop auf Stripe zuruckgreife und hier als Zahlungmethode Paypal freigebe und der Kunde dann über Paypal via Kreditkarte bezahlt. Wenn man dann das Kreditkartenkonto wieder über Klarna ausgleicht hat man genug AGB’s für eine längere Zeit ohne dass einem der Lesestoff ausgeht.

spr · 26. März 2024 um 18:44

Interessante Darstellung – vielen Dank!

Allerdings sind die Arten des Teilens sehr unterschiedlich einzuordnen:

Agencies: da sind die Regulatoren drunter für Finanzdienstleister – ja die nehmen reichlich Daten (als Beispiel mal bei der Bundesbank die „berühmte“ Groß- und Millionenkreditmeldung: https://www.bundesbank.de/de/aufgaben/bankenaufsicht/dokumentation/datenverarbeitung/gross-und-millionenkreditmeldewesen-775188, Namen, Wohnort, Geburtsdatum, Beruf, ggf. Angaben über Beteiligungsverhältnisse, Speicherdauer 20 Jahre ODER noch „besser“: https://www.bundesbank.de/de/aufgaben/bankenaufsicht/dokumentation/datenverarbeitung/pruefungen-durch-pruefungsteams-775210 – Prüfungsunterlagen und sonstige bank- und unternehmensinterne Unterlagen mit personenbezogenen Kundendaten einschließlich Kreditportfolioabzug, insbesondere Name, Anschrift, eingeräumte und in Anspruch genommene Kredite, Informationen über die wirtschaftliche Leistungsfähigkeit und Bonität (z.B. Einstufung in einem Ratingverfahren) oder Informationen über gestellte Kreditsicherheiten, maximal 30 Jahre)
Audit: Der Wirtschaftsprüfer muss natürlich Einsicht in die Bücher nehmen, um zu prüfen
Group Companies: keine Überraschung, dass ggf. mehrere Unternehmen innerhalb einer Firmengruppe Daten teilen müssen, bspw. auch wenn etwa der europäische Kunde bei einem amerikanischen Shop zahlt und mit der jeweiligen Paypal-Entität ihr Vertragsverhältnis haben
Legal: wenn ich ein rechtliches Problem habe, dann muss ich meinem Anwalt Daten geben…
Auskunfteien: Paypal nimmt ein Risiko und sichert das ab durch Datenabfragen (bspw. bekannte Betrüger, schlechte Zahlungsmoral usw.) - ab hier wird es teils grau
Financial Services: ganz ohne andere geht’s auch für Paypal nicht… und klar müssen Daten fließen, nur wie viele und wohin wäre die Frage – da die AGB global gelten kommen natürlich unglaublich viele Partner zusammen
Operational Services, Commercial Partnerships: bspw. steht der SMS-Versanddienstleister und Commercial Partnerships und nicht unter Operationalisiert Services… auf jeden Fall bunte Mischung aus ziemlich plausibel und erstaunlich
Customer Service Outsourcing: hier fließen Daten so richtig schön an andere…

Also eine bunter Mischung aus „krass“ und „eigentlich logisch wenn ich bestimmte Services anbieten möchte“.

Richtig kritisch sind die ganzen Outsourcing und Marketing-Teile von wo viel Weiterfluss kommen kann…

Franz_Wertigheim · 26. März 2024 um 19:38

Ich werd mich da auch fragen, ob die Limits eingezogen haben oodr ob gleiche alle gelisteten Entitäten den gleichen Zugriff hernehmen können.
Beispiel: Customer Service Outsourcing, da ist ein Pole geführt. Bekommt dieser nur Zugriff auf Daten der Polen oder auf alle weltweit?
Wer kontrolliert, ob es Lücken in den Berechtigungen gibt? Das ist freilich unübersichtlich.
Und wo sooo viele Anbieter mitmischen, da muss rein statistisch schon ein schwarzes Schaf dabei sein, das alle Daten unversehens rüberzieht. Ne Kopie für sich und andere macht.
@007sascha Les ich aus dem Beitrag, Du findest Stripe via JS-Skript und mit minimaler Datenaufnahme ok?

kolabi · 30. März 2024 um 19:17

Es ist zwar noch etwas Zukunftsmusik, aber was haltet ihr von vom GNU Taler? Wie der Name schon verrät, handelt es sich um eine freie Implementierung und hat sich vor allem den Datenschutz beim Bezahlen auf die Fahnen geschrieben. U.a. scheint hier die GLS Bank eine führende Rolle einzunehmen. Entscheidender Punkt dürfte wahrscheinlich die Verbreitung im Online- und Offline-Handel werden? Hier heißt es:

Beim Zahlen mit Taler muss die Identität der Zahlenden nicht offengelegt werden. Wie beim Bezahlen mit Bargeld erfährt niemand, wie man das elektronische Bargeld ausgibt. Die Zahlenden erhalten jedoch einen rechtsgültigen Nachweis, dass sie bezahlt haben.

Und wie sieht es mit dem digitalen Euro aus? Allerdings wird das wohl noch ein paar Jahre dauern. Es soll ja wohl eine europäische Alternative zu den großen Kreditkartenunternehmen werden. Die Bundesbank hat hier vor kurzem eine eigene gut ausgestattete Abteilung gegründet. Zum Thema Datenschutz klingt doch das unter Frage 9 nicht schlecht?

Das Design eines digitalen Euro würde dafür sorgen, dass er einen anderen digitalen Zahlungsmethoden überlegenen Schutz der Privatsphäre gewährleistet. Dem Eurosystem wäre es nicht möglich, Personen anhand ihrer Zahlungen zu identifizieren. Persönliche Transaktionsdetails von Offline-Zahlungen in digitalen Euro wären nur dem Zahlenden und dem Zahlungsempfänger bekannt.

Ist zwar ein wenig Off-Topic, da es nur den Datenschutz beim Geldabheben und Bezahlen an Terminals mit Karten betrifft Trotzdem verlinke ich mal die Antwort vom Deutschen Sparkassen und Giroverband aus dem Thema Abschaffung der Girokarten, Ersatz: US-Debitkarten (Visa, Mastercard).

007sascha · 5. April 2024 um 13:13

Ich würde sagen dass ich bisher keine bessere Alternative kenne, so richtig gefallen tut es mir dennoch nicht. Ich hole mir ja externe Inhalte direkt auf meine Seite, eigentlich habe ich gerne alles unter meiner eigenen Kontrolle. Von daher ist ein eigenes Script mit API sicher besser, jedoch fällt man dann auch wieder unter andere Regularien die die Kreditkartenbetrieber einfordern. Ob das jemals geprüft wird weiß ich nicht.
Welche Möglichkeit man als „BigPlayer“ hat wird wohl kaum jemand offentlich beantworten.

Sicher ein interesanter Ansatz, wenn ich jedoch aktuell für jedermann eine Ware verkaufen möchte, glaube ich dass ich über GNU-Taler nur einen „Nerd“ zum Bezahlen bewegen kann, die breite Masse wird dies einfach nicht nutzen wollen/können. Somit brauch ich dann auch wieder zusätzlich die klassischen Beazahllösungen.